云安全原理與實踐精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的云安全原理與實踐主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：云安全原理與實踐范文

關鍵詞：云計算；傳媒；信息安全

隨著知識經濟以不可逆轉的力量推動著時代的車輪飛速前進，人類社會也正經歷這前所未有的快速變革，自從聯合國教科文組織提出知識經濟的概念20年以來，人類創(chuàng)造的知識成果超過近5000年文明創(chuàng)造的總和；在新世紀剛過去的10年，經合組織GDP50%以上是依賴于知識經濟；科技進步對經濟增長的貢獻率甚至超過了80%。

正是在這樣的知識經濟蓬勃發(fā)展大環(huán)境下，廣西日報傳媒集團（以下簡稱“廣西日報”）順應時代，抓住機遇，整合出版資源，做大做強經營性文化產業(yè)。努力開創(chuàng)和發(fā)展包括平面媒體、網絡媒體、移動媒體等全方位覆蓋的全媒體傳播和多元化產業(yè)發(fā)展的新格局。信息技術作為知識經濟的核心驅動技術，成為引領傳媒業(yè)邁向新時代的關鍵因素。

1 信息化建設的需求分析

自從2009年底轉制為集團企業(yè)后，隨著業(yè)務的快速增長和技術日新月異，廣西日報在信息化工作深入應用時也遇到了一些挑戰(zhàn)，主要體現在以下幾個方面：

第一、業(yè)務層面。隨著廣西日報業(yè)務的不斷豐富和擴展，業(yè)務模式正在開始逐步的轉型，主要是“傳播者本位”向“受眾本位”的轉型、從“組織媒介”向“大眾媒介”的轉型、從“宏觀內容”向“微觀內容”的轉型。業(yè)務模式轉變對信息系統(tǒng)支撐并適應業(yè)務轉型的要求提出了新的要求。

第二、管理層面。企業(yè)化管理體制對業(yè)績和效率要求更為明確，同時對投入和成本的控制也較事業(yè)單位時期更為嚴格，信息科技工作量化管理本身就是個業(yè)界難題，如何有效地治理信息系統(tǒng)，規(guī)范管理，降低成本，也是信息化工作面臨的重要挑戰(zhàn)。

第三、技術層面。WEB2.0時代，新一代互聯網發(fā)生了翻天覆地的變化，如P2P、RSS、博客、微博、WiKi、播客等資訊傳播技術如雨后春筍般涌現出來，并將迅速成為推動傳媒領域技術革命的關鍵因素，信息科技工作不僅要將如此眾多的新興技術學習、消化、吸收，更要將技術和實際業(yè)務工作結合，無疑為信息科技工作增加了工作壓力和難度。

綜上所述，如果仍然延續(xù)傳統(tǒng)的信息科技工作模式，將不能適應集團業(yè)務轉型和發(fā)展的要求。為了從根本上解決信息科技工作存在的問題，確保信息系統(tǒng)可持續(xù)發(fā)展，廣西日報決定整合IT核心系統(tǒng)，規(guī)范相關業(yè)務流程，打造先進、靈活、安全的IT系統(tǒng)，具體需求如下：

第一，采用創(chuàng)新的云計算模式取代傳統(tǒng)C/S或B/S計算模式，整合現有業(yè)務系統(tǒng)至統(tǒng)一運行平臺，并采用松耦合思路進行協同整合，突破各IT系統(tǒng)的區(qū)域和邊界限制，為業(yè)務系統(tǒng)轉型提供技術支撐。

第二，引入成熟先進的IT管理體系和規(guī)范標準，結合業(yè)務實際情況制定包括系統(tǒng)生命周期、技術服務管理、信息安全管理等自身IT管控體系，為信息科技工作配套管理體系打下良好基礎。

第三，建設嚴密、協同、靈活的信息安全體系，切實有效保障業(yè)務連續(xù)性，為業(yè)務健康可持續(xù)發(fā)展保駕護航；同時，提升資源利用率，優(yōu)化系統(tǒng)性能價格比，降低系統(tǒng)總擁有成本，真正實現少花錢，多辦事。

2 信息安全建設總體思路及安全實踐

2.1 信息安全建設總體思路

根據總體規(guī)劃、分步實施的總體思路，廣西日報的信息安全建設分為兩個階段，第一期項目以建設私有云為主要內容，第二期則是在一期的基礎上，建設私有云和社區(qū)云的混合云為主要內容?？傮w建設思路如圖1所示。

2.2 總體技術架構

在傳媒集團信息安全建設中，云計算的最關鍵技術，就是如何整合計算處理、數據存儲和網絡傳輸三大子系統(tǒng)。在傳統(tǒng)的C/S或B/S計算模式中，往往這三者是松耦合的，而在云計算環(huán)境中，這三者是緊耦合的——通過高速的寬帶網絡虛擬化技術，將處理資源及存儲資源緊密有機地整合在一個完整的系統(tǒng)中。要實現真正意義上的云計算，必須使處理、存儲、網絡三大子系統(tǒng)實現以下關鍵功能：

第一、處理資源虛擬化和網絡化。處理資源主要包括CPU、內存及系統(tǒng)總線，通過虛擬化技術將CPU、內存抽象出來，作為虛擬資源池，再通過虛擬化網絡將各資源池聯通，并通過管理系統(tǒng)進行統(tǒng)一資源調度，做到即可多個物理資源整合一個邏輯資源，又可將一個物理資源分割成多個邏輯資源，如現在流行的InfiniBand技術就是將傳統(tǒng)封閉的PCI/PCI-X/PCI-E總線網絡化的實例。

第二、存儲資源虛擬化和網絡化。存儲資源主要包括各種在線、近線甚至離線存儲資源，主流存儲產品均支持各種網絡化解決方案，包括SAN、ISCSI、NAS等，可以非常便捷地用網絡管理的思路來管理存儲系統(tǒng)。先進的存儲產品可以支持虛擬化或云計算環(huán)境中的數據無縫遷移、災備、數據消重等重要功能，如現在流行的FCOE技術就是將封閉式存儲數據傳輸遷移到高速以太網的實例。

第三、網絡傳輸寬帶化和標準化。和傳統(tǒng)計算環(huán)境相比，云計算環(huán)境中，網絡傳遞的不僅是傳統(tǒng)的IP業(yè)務數據，更多的將是各種處理資源和存儲資源的數據，這些數據具有極強的實效性（納秒級）、高可用性（99.999999%），并且要求網絡具備極高的吞吐能力（萬兆級）。同樣重要的是，在傳統(tǒng)網絡中，IP數據是無連接的，而云計算環(huán)境中，網絡傳輸應保障端到端業(yè)務的可靠性，所以要求網絡面向連接特性更為嚴格。這使云計算環(huán)境中核心網絡和傳統(tǒng)的局域網、廣域網、園區(qū)網有本質的區(qū)別。如現在流行的零丟包非阻塞式網絡就是云計算核心網絡的實例。圖2為廣西日報私有云建設總體技術架構圖。

2.3 安全的云計算環(huán)境

在論述云計算環(huán)境的安全性時候，有必要明確的是“安全云”還是“云安全”的概念。“云安全”是信息安全領域最近炒得比較熱話題，但是，“云安全“是各安全廠家借鑒了云計算的共享協作基本理念和思路，用在各自的信息安全產品的更新和協作上。使其產品能夠更快速靈活的應對各種潛在和突發(fā)的安全威脅。因此，“云安全”只是一種理念，在業(yè)界有相當一部分資深人士認為“云安全”原理上甚至只是分布拒絕式服務攻擊或僵尸網絡攻擊的反其道而行之。而“安全云”的概念和范圍則要比“云安全”要廣得多，技術深度也不可同日而語。“安全云”是完整的云計算環(huán)境中的信息安全體系，不僅是理念，還包括了各種管理標準、技術架構。因此，在建設安全的云計算環(huán)境光考慮云安全是遠遠不夠的，要結合管理、技術、業(yè)務，建設并完善整個云計算安全體系。圖3是廣西日報的安全云體系架構。

建設廣西日報安全云計算環(huán)境考慮了三方面，一是云計算技術架構，二是傳統(tǒng)信息安全體系架構，三是引入了國內外相關的信息安全法律、法規(guī)和先進的安全標準的最佳實踐。這使得廣西日報私有云安全體系建設較有成效，切實保障了業(yè)務系統(tǒng)的安全穩(wěn)定運行。

2.3.1 云計算環(huán)境下面臨的安全威脅和風險

在廣西日報云計算環(huán)境中，主要存在以下的安全威脅和風險，如表1所示。

2.3.2 統(tǒng)一集中安全認證/授權/審記

云計算環(huán)境中用戶最大顧慮可能是云計算打破了傳統(tǒng)信息安全的邊界概念，無邊無際，看不見摸不到，如采用傳統(tǒng)的基于邊界和各系統(tǒng)獨立的安全思路，可以設想下這樣的場景：云計算無邊界限制，入口眾多，各系統(tǒng)權限分立，安全標準不統(tǒng)一，缺乏事后追溯和跟蹤審記，必將給云計算環(huán)境帶來巨大的安全隱患。因此，在私有云計算環(huán)境中，統(tǒng)一入口、統(tǒng)一認證、統(tǒng)一授權、統(tǒng)一審記（即AAA安全體系）是極為關鍵的。

統(tǒng)一入口可以通過建立統(tǒng)一云門戶實現，用戶在統(tǒng)一業(yè)務門戶登陸后，通過統(tǒng)一認證產品，集成LDAP和數字證書等多因強認證技術，對用戶提供安全的單點登錄服務；用戶成功登錄后，由統(tǒng)一認證系統(tǒng)根據用戶角色和業(yè)務系統(tǒng)安全規(guī)則進行集中授權；用戶進行業(yè)務操作時或者登出后，由統(tǒng)一認證系統(tǒng)在后臺記錄下用戶的操作行為，在必要的時候可支持操作回溯，通過對認證、授權、審記的統(tǒng)一集中，根本上改進了云計算環(huán)境下存在的安全隱患。圖4為云計算環(huán)境下集成統(tǒng)一門戶、統(tǒng)一認證系統(tǒng)的系統(tǒng)示意圖。

2.3.3 可信計算體系

安全云可信計算體系包括可信身份確認、可信資源安全列表、異常操作行為檢測等內容?？尚派矸荽_認可以采用PKI數字證書信任體系，確保參與云計算的各方的雙法身份；可信資源安全列表可采用云安全技術，建立私有云可信安全列表，同時，可通過安全云快速部署異常行為檢測功能至各主機和應用防火墻，通過云計算的靈活性和管理彈性，實現自適應、自防御的安全云。

2.3.4 數據私密性完整性

可借助基于開放性較好的SSL或SSH等安全技術，對云數據傳輸進行加密，采用HASH-1對數據進行校驗，如安全級別要求更高，可采用數字證書簽名對數據進行完整性校驗。在實際云計算生產環(huán)境中部署要特別注意兩點，一是如果用戶數比較多或業(yè)務流量大，SSL性能應通過硬件加速來提升，二是CA中心自身信息安全要特別注意，建議CA采用物理隔離的方式，通過RA來和吊銷證書。

2.3.5 業(yè)務連續(xù)性保障

對于生產業(yè)務，云計算環(huán)境需要確保其業(yè)務連續(xù)性，業(yè)務連續(xù)性主要包括系統(tǒng)高可用性、災備和相關的業(yè)務切換管理體系。需要對涉及到所有環(huán)節(jié)，包括虛擬化的主機、存儲和網絡等各種資源和業(yè)務操作系統(tǒng)、中間件、數據庫、業(yè)務應用做完整的評估分析，制定有針對性的業(yè)務連續(xù)性計劃，實現系統(tǒng)無單一故障點，同時需要制定出當嚴重故障發(fā)生時業(yè)務切換計劃，并采取定期演練驗證和改進措施，云計算環(huán)境中業(yè)務的業(yè)務連續(xù)性架構如圖5所示。

2.4 云計算環(huán)境對異構客戶端的支持

廣西日報由于新聞傳媒業(yè)務的特殊性，必定有較多的移動用戶和各種異構終端需要隨時隨地訪問各種前端業(yè)務應用，云計算的特色優(yōu)勢之一就是能夠完美地支持不同類型的用戶和各種異構終端，包括傳統(tǒng)桌面PC、筆記本電腦，也包括各種操作系統(tǒng)的智能移動終端。當然，完美支持iPad、iPhone等時尚數碼終端也必不可少的。通過私有云的桌面虛擬化技術將前端界面展示和后端數據I/O的職能分別剝離，讓統(tǒng)一的界面擴展到幾乎所有類型的終端，顯著的降低了應用開發(fā)和部署的投入，規(guī)范了標準的用戶界面，簡化了終端管理，對于二期擴展到混合業(yè)務云提供也了堅實的支持支撐。如圖6所示。

3 云計算實施后的效益評估

第一，利用云計算虛擬化技術，充分整合前臺和后臺計算、處理、存儲資源，極大地提升了硬件資源的利用率，降低了硬件采購成本、管理維護成本和使用成本，進而顯著降低了總擁有成本（TCO）。

第二，通過集成統(tǒng)一門戶和統(tǒng)一身份認證系統(tǒng)，從根本上改觀了云計算存在的安全性的隱患，確保不同安全級別的業(yè)務應用能夠在安全的區(qū)域內穩(wěn)定可靠運行，結合數據保護和業(yè)務連續(xù)性保障，形成了云計算環(huán)境下信息安全體系，為業(yè)務提供了堅定穩(wěn)固的信息安全保障。

第三，統(tǒng)一了用戶界面，支持各種異構客戶端訪問，改善了用戶體驗，提升了用戶滿意度；通過先進云計算的技術創(chuàng)新為廣西日報業(yè)務轉型提供有力地支撐，為廣西日報樹立了本地區(qū)乃至國內的行業(yè)領先形象打下了良好的基礎。

參考文獻

[1] 周洪波.云計算：技術、應用、標準和商業(yè)模式[M].北京:電子工業(yè)出版社，2011.

[2] 宋迪.“傳媒云”的暢想[J].中國傳媒科技，2011(2).

[3] 本刊編輯部.漫步云端——共話云計算在傳媒領域的應用與建設[J].中國傳媒科技，2011(2).

[4] 云安全聯盟.云計算關鍵領域安全指南V2.1.[DB/OL].cloudsecurityalliance.org/.2009.

第2篇：云安全原理與實踐范文

據介紹，作為互聯網安全公司，奇虎360公司通過了中國信息安全測評中心的測評，取得了國家信息安全測評證書（安全工程類一級）。同時，360的客戶端產品也通過了國家信息安全產品分級評估測評，并被授予國家信息技術產品安全測評證書；奇虎360旗下的全線產品也均符合主管部門制定的互聯網終端軟件服務行業(yè)規(guī)范，以及國內外網絡安全軟件的各項標準，因此奇虎360的產品安全可靠。

周鴻祎表示，自從去年8月16日奇虎360推出搜索服務以來，不斷遭到競爭對手的猛烈攻擊。對于一些虛假報道，360有三個基本的應對原則，即及時回應、正面回答所有的疑問，以及公開回應。

“我認為這件事情的本質，還是奇虎360在中國對巨頭的挑戰(zhàn)與反挑戰(zhàn)，未來只要我們還做搜索，只要試圖打破壟斷，這種現象就會不斷出現?！敝茗櫟t如是說。

周鴻祎：任何廠商的殺毒軟件，都有兩個功能，一是對文件的實時監(jiān)控，二是對進程的實時監(jiān)控。當用戶的電腦運行程序時，360如果不能檢測程序是不是木馬病毒，就不能保護用戶的電腦安全。

問：某媒體在其報道中稱，360安全衛(wèi)士7.3.0.2003l版本記錄和上傳軟件操作行為，為什么會有這種行為？

答：安全軟件的一個很重要的職責，就是監(jiān)控電腦里運行的程序（數據、圖片和office文件不屬于運行的軟件），任何安全軟件公司都有兩個功能，一是對文件的實時監(jiān)控，二是對進程的實時監(jiān)控。沒有這兩個功能就不是安全軟件，這是正常功能。當用戶的電腦運行程序時，360安全衛(wèi)士如果不能檢測程序是不是木馬病毒，就不能保護用戶的電腦安全。

同時，安全軟件也都有“進程防護”功能，也就是對即將運行的程序的安全性進行判斷。傳統(tǒng)安全軟件是比對本地的特征庫，而基于云的安全軟件需要把應用程序的各種特征與云端的海量的特征進行比對，進而判斷其安全性。

要充分、全面的判斷一個進程的安全性，僅僅靠文件自身是不夠的，還需要全面評估文件指紋、文件簽名、命令行參數等多種信息，因此云安全軟件在判斷進程的安全性的過程中必然要與云端進行交互。

問： 奇虎360公司的云主防技術，目前達到了怎樣的防護效果？

答：奇虎360的云主防技術是目前國際領先的互聯網安全技術。

總體來說，在奇虎360倡導的“免費安全”理念和云安全防護之下，惡意軟件的增長勢頭較前幾年明顯放緩，木馬疫情開始得到有效控制。特別值得一提的是，2012年以來，木馬等惡意程序攻擊用戶的成功率大幅降低，從以往的1%～3%，下降到如今的千分之五以內。2012年，360云安全中心共截獲新增惡意軟件13.7億個，比2011年增加29.7%，增速明顯放緩，新增惡意軟件樣本在2012年前7個月呈現穩(wěn)步下降的態(tài)勢。電腦中毒的主要原因是用戶在木馬病毒的誘導性提示下關閉了安全軟件的防護功能。

周鴻祎：現在，網上欺詐釣魚已經取代短信詐騙，成為行業(yè)主要公害。當用戶進入一個假銀行、假電子商務和假彩票等欺詐網站時，如果奇虎360不能提示攔截，用戶的財產就可能被騙，使用戶蒙受損失。網址云查詢已經成為互聯網安全軟件的必備。

問：有報道稱360公司服務器上的“用戶隱私”數據被谷歌搜索爬蟲抓取，包括瀏覽的網頁、下載過的應用、搜索的關鍵字等，這是什么情況？

答：所謂“隱私數據”是360安全衛(wèi)士對可疑網址的查詢記錄，主流安全軟件均采用該機制。這些數據只是360安全衛(wèi)士對可疑網址的查詢記錄。

目前各種釣魚、欺詐網站已經成為中國網民面臨的主要安全威脅。360安全衛(wèi)士為全國網民每天攔截3000萬次惡意網址訪問。之所以能做到這點，就是得益于基于云的網址安全體系。事實上，這也是目前主流安全軟件的通行做法。

至于為何會在網址中出現用戶名和密碼，是由于極少數網站缺乏安全意識，把用戶口令編寫在網址中。打個比方，就好像銀行給用戶郵寄信用卡的郵件，把卡號和密碼寫在了信封上。對于這類存在安全缺陷的網站，360安全衛(wèi)士也采取了措施，過濾可能帶有用戶數據的網址。

問：據稱，360瀏覽器有“后門”，從服務器定期下載dll可執(zhí)行程序？

答：上述報道中提到的dll文件，實際上只是配置文件，并不具有“遙控”作用。

其實，配置文件做成dll形式并添加數字簽名校驗是安全軟件的常規(guī)做法，可以保證程序在加載配置文件時，能夠確認文件沒有被木馬篡改過。

這種做法還可避免下載文件時被中間人攻擊。比如黑客通過ARP攻擊劫持下載過程，返回由黑客構造的惡意配置文件。

進一步解釋的話，5分鐘一次的檢查更新，是360安全瀏覽器的一種保護網購安全的快速攻防機制，360安全瀏覽器作為上網安全的第一道防線，需要具備這種能力。所有安全軟件都有類似的行為。

360安全瀏覽器有針對釣魚網址的云查詢技術，但是釣魚網站的技術有很多種，不僅限于只有假冒網址的攻擊，公安部門破獲的“浮云”網購木馬，就是通過QQ號給買家傳文件的方式運行起來并注入瀏覽器，進而篡改用戶的網購訂單，將收款人換成自己來牟利，獲利上千萬元。而且通過遠程控制，攻擊方式不斷變化，一天內變化能超過7次以上。

為了對付這些行為，360安全瀏覽器也需要這種更新機制來進行更快速的攻防實踐。2012年，360安全瀏覽器攔截釣魚網站18億次。如果按每次網購用戶的損失約為500元計算，2012年360安全瀏覽器共計防止用戶遭受9000億元的損失。

同時，360安全瀏覽器下載的dll只是數據文件，這種通過dll內置數據文件來防止篡改的方式，奇虎360公司在2012年3月專門申請了專利。此外，下載的dll資源文件會被驗證簽名，如果簽名不對，則不會被加載。報道中提到的一個沒有簽名的dll被調用，是因為分析者在測試環(huán)境中用調試工具破壞了校驗機制導致的，在真實環(huán)境是不可能發(fā)生的。

問：報道中還稱，360安全瀏覽器“浸潤”網銀安全，屏蔽權威認證機構VeriSign，換為自己的認證機制。

答：360瀏覽器并未屏蔽VeriSign認證?，F在，網上欺詐釣魚已經取代短信詐騙，成為行業(yè)主要公害。當用戶進入一個假銀行、假電子商務、假彩票等欺詐網站時，如果360安全瀏覽器不能提示攔截，用戶可能就會被騙財，蒙受損失。網址云查詢已經成為互聯網安全軟件的必備。如果360安全瀏覽器訪問被DNS劫持的銀行，用戶看到強烈的提示頁面，用戶就不會進行下一步操作了。所以根本不存在360安全瀏覽器屏蔽Versign認證，如果屏蔽，這個攔截網頁根本不會出現。用戶可以自行下載360安全瀏覽器來驗證，將系統(tǒng)時間改成“2010-1-1”就能重現。此外，攔截釣魚網站光憑Versign的認證是不夠的，很多網站都沒有購買證書，所以360安全瀏覽器推出了“網站名片”功能，參考國家的ICP備案信息庫和其他認證機構數據，對于域名經過認證的網站，給用戶更多的信息，幫助用戶識別釣魚網站。

對于已知的惡意網站，360安全瀏覽器會通過網址云安全技術進行攔截，多種鑒別方式能幫助用戶更好地識別釣魚網站。而最新推出的“照妖鏡”功能，更是能對各種未知網站進行“一鍵云鑒定”，對“閃騙”網站進行打擊。

周鴻祎：任何一個互聯網公司做的軟件，從輸入法到播放器，都具備實時在線升級功能，奇虎360公司的安全軟件更是如此。當互聯網上出現一個新木馬、新的攻擊方式時，奇虎360通過V3模塊及時把新的查殺代碼程序升級到用戶的電腦中。事實上，自動升級在國外安全軟件中廣泛存在。

問：報道稱，360“利用V3升級偷偷卸載競爭對手產品，安裝推廣軟件”，這些行為是否存在？

答：V3是360安全衛(wèi)士升級程序版本號，絕不會偷偷卸載競爭對手產品和安裝推廣軟件。眾所周知，互聯網軟件都帶有升級功能。任何一個互聯網公司做的軟件，從輸入法到播放器，都具備實時在線升級功能。特別為了有效對抗快速變化的木馬和0day漏洞，要求安全軟件必須能快速升級響應，國內外主流安全軟件全都如此。奇虎360的安全軟件更是如此，當互聯網上出現一個新木馬、新的攻擊方式時，奇虎360通過V3模塊及時把新的查殺代碼程序升級到用戶的電腦中。

某媒體報道中提到的“V3”就是升級程序的版本號，代表的是第三個主要版本，其作用是把木馬防御規(guī)則、補丁更新等安全特性快速升級，根本不會偷偷卸載競爭對手產品和安裝推廣軟件。同時，用戶也可以在360安全衛(wèi)士的設置界面中，選擇是否開啟自動升級。

問：此外，報道中還提及了360安全軟件的“自我保護”功能，對此奇虎360公司有何解釋？

答：安全軟件如果連自己都保護不了，怎么可能有效地攔截木馬？

現實中，每天木馬都在和360安全軟件做攻防斗爭，不斷想辦法繞開360安全軟件，我們也在更新360安全軟件的主動防御規(guī)則，加強自我保護，對程序運行的過程進行評分，如果符合某幾個木馬特征，分數到了一定程度，360安全軟件就會報警攔截。這些技術原理屬于安全軟件的秘籍，因為各個安全軟件比拼誰更有效果，就是比拼誰能對付未知的新木馬。做安全也不會一勞永逸，我們每天都在和木馬黑客做攻防斗爭。

要應對木馬病毒新的攻擊方法，我們專門有上百名分析人員，每天在機器分析各種木馬的行為。我們總結了上萬條的木馬行為特征，用這些行為特征綜合判斷才能抵御木馬病毒的不斷變異。

當然，360安全軟件的“自我保護”只是針對病毒和木馬，如果用戶通過正常途徑，是完全可以卸載奇虎360公司的相關產品的。

周鴻祎：奇虎360公司是互聯網顛覆式創(chuàng)新的典型案例。顛覆式創(chuàng)新是對壟斷巨頭的顛覆，這種顛覆式的創(chuàng)新一旦取得勝利，就搬掉了壓在行業(yè)頭上的一座大山，受益的也將是整個行業(yè)和廣大的中小企業(yè)，所以奇虎360不是“一枝黃花”。

問：有報道將奇虎360比喻成為互聯網的“一枝黃花”，對此您怎么看？

答： 奇虎360是互聯網顛覆式創(chuàng)新的典型案例。顛覆式創(chuàng)新是對壟斷巨頭的顛覆，這種顛覆式的創(chuàng)新一旦取得勝利，就搬掉了壓在行業(yè)頭上的一座大山，受益的也將是整個行業(yè)和廣大的中小企業(yè)，所以奇虎360不是“一枝黃花”。

問： 奇虎360這幾年發(fā)展很快，行業(yè)地位顯著提升，360已經進入互聯網巨頭俱樂部了嗎？

答： 奇虎360不是巨頭，算是互聯網第二梯隊公司。打個比方，如果百度是20歲的青年、騰訊是40歲的壯年的話，那么奇虎360還只是剛剛上小學的兒童。盡管奇虎360在中國互聯網安全領域占據了90%以上的市場規(guī)模，但從收入規(guī)模、人員規(guī)模、資金儲備等方面看，還都處于發(fā)展的初級階段。奇虎360仍是一家創(chuàng)業(yè)公司，自身發(fā)展還捉襟見肘，根本談不上巨頭。但是，因為奇虎360敢于向行業(yè)壟斷者挑戰(zhàn)，從而引發(fā)了行業(yè)巨頭的多次打壓。

問：在外界看來，奇虎360公司已經成為互聯網行業(yè)的成功者，奇虎360有哪些可資借鑒的成功經驗？

答： 奇虎360的商業(yè)模式是，利用免費安全積累了4億多用戶并在海量用戶的基礎上建設開放平臺，所有互聯網公司把內容接入360開放平臺，最后奇虎360與合作伙伴利益共享。也就是說，奇虎360與互聯網上一切影視、游戲、新聞、電商等一切內容廠商都是朋友，360開放平臺的模式構建了健康的互聯網產業(yè)生態(tài)，促進中國互聯網的繁榮。

問：產生“大樹之下寸草難生”的原因是什么？您認為誰是互聯網的“一枝黃花”呢？

答：從根本上來說，“大樹之下寸草難生”的原因就是中國互聯網領域缺乏創(chuàng)新。創(chuàng)業(yè)公司要想發(fā)展起來，不能依靠大公司的游戲規(guī)則，必須建立新的商業(yè)模式，破壞掉大公司已有的格局，吸引用戶。

過去十年中，中國互聯網行業(yè)獲得了高速發(fā)展，也產生了很多市值上百億、幾百億美元的公司。但當前互聯網行業(yè)問題重重，比如壟斷、不正當競爭等，其中最為很多創(chuàng)業(yè)者痛恨的就是缺乏創(chuàng)新、抄襲。

在這樣的行業(yè)格局下，一個小公司想起來往往是困難重重。所以小公司想創(chuàng)業(yè)不能依靠大公司的游戲規(guī)則，必須靠新的商業(yè)模式，吸引用戶。同時，我們要拋掉成者王侯敗者寇，唯成功論這樣的思想。不能迷戀和崇拜大公司，覺得大公司成功、收入高，他們了不起；相反，越是需要支持的小公司越應該得到支持，今天的我們對于創(chuàng)業(yè)公司，過于求全責備。

周鴻祎：都是搜索惹的禍，針對奇虎360公司的“抹黑”都是從去年8月16日奇虎360公司搜索服務開始的。某媒體的報道主要指責的是“360能干什么”而不是“360干了什么”。這就是典型的陰謀論式推理——因為它的功能強大，所以就有可能作惡。

問：奇虎360公司搜索服務，一個月之內就拿到了近10%的市場份額，成為了市場的第二名，依靠的是什么？

答：應該說，近兩年來中國搜索市場的服務并不能叫人滿意。由于壟斷，中國的搜索市場存在諸多問題：推廣鏈接混雜，在自然搜索結果中以假亂真；詐騙網站高居搜索首頁；搜索結果被進行了大量的人工干預……市場壟斷巨頭以競價排名的商業(yè)模式，致使假醫(yī)假藥等各種虛假信息、網絡欺詐在中國互聯網泛濫成災。

應該說，正是看到了市場的機遇，奇虎360推出了搜索服務，同時奇虎360也應該感謝行業(yè)壟斷者，其不注重用戶體驗的做法，使奇虎360獲得了為網民提供更好服務的機會。

360搜索一經推出，便受到了用戶的認可與歡迎，也獲得10%的市場份額，這主要有三點原因：

首先，長期以來搜索市場的壟斷，網民希望擁有選擇權，希望能有第二家搜索服務商進入市場；

其次，360安全網址導航擁有的海量用戶基礎；

再次，360安全品牌的價值和口碑，贏得了用戶的信賴。

問：奇虎360公司自搜索服務以來，都經歷了哪些“謠言”？

答：自2012年8月360搜索推出后，奇虎360公司和產品遭遇到許多詆毀和攻擊。

都是搜索惹的禍，針對奇虎360的抹黑都是從去年8月16日其搜索服務開始的。某報道采用的邏輯是惡毒的，整篇報道主要指責的是“360能干什么”而不是“360干了什么”。

不要說一個安全軟件，就是一個輸入法，如果想變成木馬，也隨時都可以。這就是典型的陰謀論式推理——因為它的功能強大，所以就有可能作惡！

對于這半年的“被抹黑”，可以總結為三點因素：

第一，因為奇虎360推出搜索服務，觸動了太多公司的利益。

第二，360搜索推出一周就拿到10%的市場份額，而且計劃每年市場份額增加10%，這將對市場產生巨大改變。

第三，360搜索導致資本市場對搜索行業(yè)有了新的看法。

問：未來360搜索的目標是什么？

答：奇虎360公司具有正確的理念和價值觀戰(zhàn)，始終堅持將網民的利益放在第一位。

我們相信，真實、安全的360搜索一定會贏得更多用戶。

第三方數據顯示，360搜索的市場份額已上升到15%，我們目標是在2013年年底，將360搜索的市場份額提升到20%，到2014年底提升至30%，2015年年底提升至40% 。

第3篇：云安全原理與實踐范文

另外，戴爾數據中心解決方案部門在最近戴爾邁向云計算之旅的演講中形容云計算的熱度時這樣說：“有人認為云計算無所不能，甚至能夠解決全球的饑餓問題?！焙翢o疑問，云計算已經成為IT業(yè)的主旋律：無論是亞馬遜、Google，還是IBM、微軟都在積極謀劃“云計算”布局。隨著IT巨頭的推動和用戶信任感不斷提高，云計算的市場潛力巨大，未來幾年將繼續(xù)保持較快增長的勢頭。

[關鍵詞] IT產業(yè)；云計算；戰(zhàn)略技術

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 04. 036

[中圖分類號] F270.7；TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）04- 0073- 03

1 論文的意義

隨著中國石油業(yè)務和市場的不斷擴展，作為中國石油下游的煉化企業(yè)對IT建設和運營提出了更高的要求，IT部門越來越成為企業(yè)實現創(chuàng)新發(fā)展的源泉，真正實現客戶和市場驅動的運營模式。面對新的挑戰(zhàn)，一方面需要IT服務能力能夠實現快速交付；同時，企業(yè)內部的IT系統(tǒng)規(guī)模不斷增大，各類業(yè)務系統(tǒng)的數據業(yè)務數量日益龐雜，如果繼續(xù)采用傳統(tǒng)從硬件到應用相對獨立的煙囪式運營發(fā)展模式，IT設備采購和部署將面臨越來越大的壓力，各類IT設備（網絡、服務器、存儲等）的資源將無法得到充分利用，從而在一定程度上制約了企業(yè)的快速發(fā)展。

通過企業(yè)內部云計算的謀劃、布局，可以提高系統(tǒng)遷移和部署速度，提高資源利用率，降低資產和維護成本，并為在建和擬建信息系統(tǒng)提供最先進的技術支持，以很小的投入，解決企業(yè)各信息系統(tǒng)對IT資源的需求，保障未來企業(yè)信息化建設的可持續(xù)發(fā)展。

2 云計算介紹

2.1 云計算的定義

云計算秉承“按需服務”的理念，狹義的云計算指云系統(tǒng)的可配置計算資源共享池（如：硬件、平臺、軟件）的交付和使用模式，廣義的云計算指服務的交付和使用模式，即用戶通過網絡以按需、易擴展的方式獲得所需的云系統(tǒng)的可配置計算資源/服務。云計算是商業(yè)模式的創(chuàng)新，主要實現形式包括 SaaS、PaaS 和 IaaS。

2.2 云計算的基本原理

云計算的基本原理是：通過使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中，數據中心的運行將更與互聯網相似，使得中心能夠將資源切換到需要的應用。同時，云計算也是一種商業(yè)計算模型，它將計算任務分布在大量計算機構成的資源池上，使用戶能夠按需獲取計算力、存儲空間和信息服務。這種資源池稱為“云”?！霸啤笔且恍┛梢宰晕揖S護和管理的虛擬計算資源，通常是一些大型服務器集群，包括計算服務器、存儲服務器和寬帶資源等。

2.3 云計算的服務模型

在互聯網的第一次革命中三層（或n 層）模型作為一般架構出現，但虛擬化在云中的應用創(chuàng)造出一組新層：應用程序、服務和基礎設施。從當前的發(fā)展狀況看，云計算的服務模式可以分為基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）三種。如圖1所示：

其主要特征：

（1）按需服務性：云計算服務應能夠快速自動化地滿足用戶對服務功能、服務實例等服務交付內容的申請，變更，取消等操作，使用戶的需求能夠即時得到滿足；

（2）彈性：云計算服務應具有快速伸縮的能力，用戶可隨時申請、釋放和調整云計算服務資源的使用；

（3）網絡依存性：云計算服務的使用者通過網絡訪問計算，存儲資源以及各種服務； 可計量：云計算服務本身應具備將用戶使用的計算、存儲及其他特定功能的服務按照合理一致的標準進行細粒度地計量的能力。

2.4 云計算技術演進路線

云計算是并行計算（Parallel ）、分布式計算（Distributed）、網格計算（Grid）發(fā)展，或者說是這些計算機科學概念的商業(yè)實現，是虛擬化（Virtualization）、 效用計算（Utility Computing）、面向服務（SOA）、IaaS（基礎設施即服務）、PaaS（平臺即服務）、SaaS（軟件即服務）等概念混合演進并躍升的結果。

2.5 構建云計算平臺IaaS，PaaS和SaaS

按需部署是云計算的核心。要解決好按需部署，必須解決好資源的動態(tài)可重構、監(jiān)控和自動化部署等、而這些又需要以虛 擬化技術、高性能存儲技術、處理器技術、高速互聯網技術為基礎。所以云計算除了需要仔細研究其體系結構外，還要特 別注意研究資源的動態(tài)可重構、自動化部署、資源監(jiān)控、虛擬化技術、高性能存儲技術、處理器技術等。

以關鍵技術為支撐，以IT資源為對象進行整合，構建云計算平臺，即基礎設施即服務（IaaS），平臺即服務（PaaS）和軟件即服務（SaaS）三個層次，如圖3所示。

在基于同一軟硬件平臺的基礎上，實現IT基礎架構從簡化整合、虛擬化、自動供應到云計算的整合方向，資源整合過程演進圖，如圖4所示。

3 云計算技術在煉化企業(yè)的應用前景

目前，隨著中國石油煉化一體化業(yè)務的發(fā)展，行業(yè)正處于從傳統(tǒng)企業(yè)向數字化企業(yè)轉變的關鍵時期，企業(yè)管理數字化、信息化、網絡化是社會發(fā)展的必然趨勢，數字企業(yè)則是信息化社會的主體。從橫向看，整個煉化企業(yè)的業(yè)務層次又可分為三個主要層次：生產運行管理、以ERP為核心的運營管理和日常辦公平臺。

信息系統(tǒng)系統(tǒng)應用于煉化企業(yè)的整個產業(yè)鏈，除了上述業(yè)務應用系統(tǒng)外，還建立諸如安全、網絡、數據中心等基礎設施平臺及相應的信息系統(tǒng)運維管理系統(tǒng)，從而構建出一個完整的業(yè)務信息系統(tǒng)支撐體系。

3.1 煉化企業(yè)云計算的理論模型

根據上述煉化企業(yè)自身特點，結合信息化建設的現狀，提出煉化企業(yè)的云計算理論模型，如圖5所示。

總體上看，云計算平臺分為“資源服務層”，“管理平臺”，“服務界面”三個邏輯層次。這三個層次共同組成了云計算的功能核心，實現自底向上的云服務供應與監(jiān)控。為保證云計算核心功能的正常運行，云計算平臺還包含了“安全管理層”和“運行維護層”兩大輔助管理層，這兩大輔助管理層的服務涵蓋了云計算平臺的整個核心。安全管理層為核心的三個層次提供安全支持，實現高可用、安全議問、用戶隔離和權限分配等服務。運維管理層為核心的三個層次提供運行維護的支撐，包括資源用量度量和用戶管理等服務。

3.2 基于理論模型的實踐研究

3.2.1 建立煉化企業(yè)的云計算管理平臺

建立一個可對企業(yè)各統(tǒng)建應用系統(tǒng)所使用的服務器、存儲、網絡、平臺、中間件、應用軟件等資源進行虛擬化管理、監(jiān)控管理、資源調配管理、風險管理、運維流程管理，并提供管理門戶。

統(tǒng)一規(guī)劃和部署硬件資源，提高硬件使用率，降低硬件成本。通過服務器虛擬化、存儲虛擬化和網絡虛擬化等技術將相關的硬件資源進行整合，形成統(tǒng)一的硬件資源池。根據應用系統(tǒng)的需要分配必須的資源，實現服務器的快速部署并且可以根據應用系統(tǒng)實際工作負載動態(tài)調整資源分配，保證應用系統(tǒng)的正常高效運行。通過資源的整合實現綠色數據中心的建設，發(fā)揮集中統(tǒng)一信息系統(tǒng)的優(yōu)勢，減少信息系統(tǒng)的運行能耗，持續(xù)降低總體擁有成本。

3.2.2 建立包含基礎設施、平臺的統(tǒng)一規(guī)劃和資源部署平臺

建立包含基礎設施（IaaS）、平臺（PaaS）即服務的全面的云計算服務結構?；A設施即服務指的是為用戶提供服務器、存儲、網絡等硬件資源的服務；平臺即服務指的是為用戶提供平臺、中間件等資源的服務。

根據煉化企業(yè)內部各系統(tǒng)對各類基礎軟件的不同需求，將操作系統(tǒng)、中間件和數據庫等系統(tǒng)軟件定制為標準模板，快速為應用系統(tǒng)的開發(fā)、測試和部署提供包含技術資源、存儲資源、操作系統(tǒng)、中間件等模板的運行平臺。簡化應用系統(tǒng)的開發(fā)、測試和部署。

以客戶為中心，通過服務交付的方式將IT基礎架構的計算能力提供給不同類型的客戶，提高軟硬件資源的使用率，簡化應用系統(tǒng)的維護工作，提高工作效率。

3.2.3 建立煉化企業(yè)生產、災備數據中心的云計算架構

建立煉化企業(yè)內部數據中心的云計算架構，分別是生產云、同城云和異地云。生產云以在線數據中心為基礎，主要提供用于生產系統(tǒng)的資源；同城云以同城災備數據中心為基礎，和生產云之間為互備關系，主要用于與生產系統(tǒng)互備的資源；異地云以異地數據中心為基礎，主要提供用于備份生產系統(tǒng)的資源。

3.2.4 建立為用戶提供NT平臺資源和Unix平臺資源的云計算平臺

建立為用戶提供NT平臺（虛擬）資源和Unix平臺（虛擬）資源的云計算平臺，首先進行NT平臺虛擬化試點，納入相關系統(tǒng)；試點完成后，再對所有同類應用系統(tǒng)進行NT平臺虛擬化推廣；在NT平臺虛擬化實施完成后，對所有除NT類系統(tǒng)以外的系統(tǒng)進行Unix平臺虛擬化實施。

4 結 論

在云計算的大趨勢下，不僅包括計算機、通信、互聯網、媒體內容等在內的整個信息服務產業(yè)發(fā)生全面重組洗牌，軟件產業(yè)結構將面臨大調整，軟件生產組織方式向敏捷、定制化、服務化方向變革，網絡端設備更加多元化和個性化；而且會出現大眾普遍參與、形成群體智慧的新局面，從而對社會的組織形式和人們的生活方式都產生深遠的影響。這一切，都將為善于擁抱變化、善于創(chuàng)新的企業(yè)創(chuàng)造難得的歷史性機遇。但是，云計算給人們帶來創(chuàng)新和變革的同時，對安全問題也提出了更高的要求。無論是云計算服務的提供商還是使用者，對云計算技術背后的安全性問題都必須有足夠的認識，只有深刻認識到云技術的優(yōu)點和風險，才能更好地在現實生活中科學合理地利用云技術，充分發(fā)揮其帶來的巨大效益和優(yōu)勢。。

主要參考文獻

[1][美]尼古拉斯·卡爾.IT不再重要：互聯網大轉換的制高點——云計算[M].閆鮮寧，譯.北京：中信出版社，2008.

[2]王金波.虛擬化與云計算[M].北京：電子工業(yè)出版社，2009.

第4篇：云安全原理與實踐范文

關鍵詞：云計算；云數據庫；企業(yè)應用

1、云計算概述

云計算是近幾年來最熱門的互聯網詞匯之一。自從1983年由Sun Microsystems公司提出“網絡是電腦”的概念，到2006年亞馬遜推出彈性計算云（Elastic Compute Cloud，EC2）的服務，云計算的理念逐步從抽象走向具體。2006年8月9日，Google公司首席執(zhí)行官埃里克·施密特在搜索引擎大會（SESSan Jose 2006）首次提出“云計算”（Cloud Computing）的概念，這標志著云計算正式登上信息技術領域的舞臺。

宏觀上來看，云計算是有效整合計算資源的新型業(yè)務模式，它是基礎的服務器虛擬化技術和基礎架構即服務（IaaS，Infrastructure as a Service）兩者的結合。其本質是使某一個或多個數據中心的計算資源虛擬化并進行整合封裝，以租用資源的方式向上層提供各種方式的服務。簡單來說，就是將位于不同地點的計算資源在后臺整合起來，統(tǒng)一為某一需求或應用進行服務。

云計算的優(yōu)勢主要體現在，按需采用“即用即付費”的方式分配計算、存儲和帶寬資源，使資源實現合理分配與利用；動態(tài)擴展功能和部署新服務的高可擴展性，決定云計算擁有十分廣闊的應用前景；各類資源的高利用率等。同時，云計算還集成了并行計算的良好特性：分布式計算中任務分解、分別執(zhí)行、結果匯總的計算模式；網格計算中將地理上分布、系統(tǒng)異構的多種計算資源互連協同解決大型應用問題的作業(yè)模式；對等計算中計算資源的組織和發(fā)現方式；公用計算中將聚合計算資源封裝成公共服務的資源高用率使用模式；虛擬計算環(huán)境iVCE下用戶將富余資源按需聚合和自主協同的思想。

云計算服務包含三個層次：由底層硬件或虛擬機資源構建的基礎設施即服務（IaaS）、構建在云基礎設施上，主要用來開發(fā)各種云計算應用軟件平臺即服務（Paas）和基于云平臺開發(fā)的各類應用服務的軟件即服務（saaS）。

2、云數據庫

2.1 云數據庫概述

云數據庫（Cloud DB），是一個面向云計算的數據庫資源管理平臺，旨在通過云計算的方式整合現有的大量位于Internet后臺的數據庫資源，為云計算應用的基礎結構級別的數據庫資源訪問、發(fā)現、整合等多方面問題提供通用的解決方案。

目前，云數據庫的研究工作在國內正處于起步階段。Google、Microsoft、百度、新浪、騰訊、盛大等眾多擁有豐富數據資源或計算實力的信息技術企業(yè)正走在云計算大潮的前列。各大云計算平臺服務商都在急速提升平臺優(yōu)勢，拓寬合作層面，因此各企業(yè)利用現有的的云平臺進行數據計算和處理，推出創(chuàng)新服務，是企業(yè)和平臺供應商的共贏之道。

2.2 云數據庫的優(yōu)勢

從云數據庫的實現原理來看，云計算采用分布式存儲的方式來存儲數據，采用冗余存儲的方式來保證存儲數據的可靠性。另外，云計算系統(tǒng)需要同時滿足大量用戶的需求，并行地為大量用戶提供服務。因此，云計算的數據存儲技術必須擁有高吞吐和高傳輸的特點。1，數據管理技術必須能夠高效的管理大數據集，同時必須在規(guī)模巨大的數據中找到特定的數據。云計算的特點是對海量的數據存儲、讀取后進行大量的分析，數據的讀操作頻率遠大于數據的更新頻率，云中的數據管理是一種讀優(yōu)化的數據管理。同時在云后臺，云安全的各種措施與應用對于保障云數據庫的安全性方面提供了可靠保證。

在應用層面來看，云計算較目前比較常用的關系數據庫在性能上存在很大的優(yōu)勢。首先，云數據庫本質上大多是非事務的，并且犧牲了一些高級查詢能力以換取更好的性能。另一方面，云數據庫通常又是非關系的，因此，云數據庫的使用上忽略了許多的規(guī)則。例如JOIN操作，這一操作在當數據分散到不同機器上的時候會占用較長時間，因此不適合云計算分布式的底層設計。

3、云數據庫在企業(yè)中的應用

將云數據庫應用到企業(yè)的管理系統(tǒng)中，在很多問題上都能給出較好的解決方案，如將云計算的理念引入數據庫系統(tǒng)、基于云計算的平臺與設施在數據庫管理系統(tǒng)中的應用問題、數據庫管理系統(tǒng)對云計算的質量與性能要求即評價問題、云環(huán)境下數據庫資源的安全與保密問題等。首先，基于云計算的系統(tǒng)能夠節(jié)約計算機、網絡交換器等硬件設備的購買和維護成本。同時可以為企業(yè)提供相對經濟的應用軟件服務。

典型的云數據庫管理系統(tǒng)一般分為兩部分：一部分為服務端，另一部分為客戶端。服務端主要是企業(yè)基于云數據庫搭建的信息管理系統(tǒng)，一般架設在企業(yè)的服務器或大型主機，由企業(yè)相關部門統(tǒng)一管理?？蛻舳酥饕獞糜诟鬓k公室，辦公人員通過該客戶端進行登陸并發(fā)出應用請求，通過網絡發(fā)至服務端，充分發(fā)揮了云數據庫的高可靠性、便捷易用性及超大規(guī)模等特點。

4、云數據庫在企業(yè)應用的優(yōu)勢

作為一種能夠減少企業(yè)成本和提升IT靈活性的有效途徑，云計算最近得到了更多企業(yè)的關注和長足發(fā)展的動力。

4.1 降低企業(yè)運營成本

IBM全球高效能隨需解決方案副總裁趙維義指出，云計算環(huán)境可節(jié)省為企業(yè)降低營運成本，又具備企業(yè)營運所需要的安全性及創(chuàng)新服務。云計算可以實現多任務同時進行而不影響效率，因此提供的云服務可以同時由成千上萬的客戶端存取，這在很大程度上能夠降低企業(yè)的運營成本。

4.2 影響企業(yè)的三大因素

云計算在眾多領域中都能發(fā)揮重要作用，這些領域包括企業(yè)內部產品的試驗、創(chuàng)新、虛擬世界、電子商務、社交網絡和科學研究。云計算從深度和廣大方面都極大地影響著企業(yè)的發(fā)展。

首先是內部產品的試驗與創(chuàng)新。通過云計算平臺，創(chuàng)新者通過一個簡單的Web界面聯機向云計算平臺請求資源，這些資源包括硬件平臺、操作系統(tǒng)、團隊成員及角色設定等等?！霸啤惫芾韱T請求通知后予以批準、修改或拒絕該請求。如果批準，“云”就會提供服務器。這可以縮短引入技術和創(chuàng)新的時間，降低設計、采購和構建軟硬件系統(tǒng)平臺的人力、物力成本，以及通過提高現有資源的利用率和復用率節(jié)省成本。其次是虛擬世界，虛擬世界需要大量的計算能力，通過云計算平臺托管虛擬世界的企業(yè)，可以靈活地根據當前基礎結構的利用情況，動態(tài)分配“域”（域是虛擬世界中支持特定人員子集或虛擬世界某一角落的任意區(qū)域）中客戶平均響應時間。使企業(yè)充分利用設備和資源，合理降低成本并保持了較高的客戶滿意度、減少了工作時間和資源消耗。在電子商務方面的應用分為兩個方面：—方面，在電子商務中，可以在需要時提供新的服務器，以獲得資源的彈性分配，在旺季增加更多的虛擬服務器，在淡季減少虛擬服務器?！霸啤钡囊?guī)模越大，提高效率的可能性就越大。另—方面，使用業(yè)務策略來決定哪些應用程序具有更高的優(yōu)先級，并由此獲得更多的計算資源。

第5篇：云安全原理與實踐范文

關鍵詞:網絡信息安全狀況;漏洞;網絡信息安全技術;可信計算

Abstract:As network developed rapidly and widely used， while it brings people big wealth and convenience， it also brings serious network information security problem. Network information security problem mainly is un-authorization access， masquerading legal user， damaging data integrity， interfering system normal operation， spreading virus trojan through network， line monitoring and so on. This article analysing network information security circumstance， it expounds information security problems from holes and introduces the future research direction of network information security skill.

Key words:network information security;holes;network information security skill;trusted computing

網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統(tǒng)安全，即硬件平臺、操作系統(tǒng)、應用軟件;運行服務安全，即保證服務的連續(xù)性、高效率;信息安全則是指對信息的精確性、真實性、機密性、完整性、可用性和效用性的保護。網絡信息安全是網絡賴以生存的根基，只有安全得到保障，網絡才能充分發(fā)揮自身的價值。

然而，隨著互聯網的迅速發(fā)展和廣泛應用，計算機病毒、木馬數量也在呈現爆炸式增長。據金山毒霸“云安全”中心監(jiān)測數據顯示，2008年，金山毒霸共截獲新增病毒、木馬13 899 717個，與2007年相比增長48倍，全國共有69 738 785臺計算機感染病毒，與07年相比增長了40%。在新增的病毒、木馬中，新增木馬數達7 801 911個，占全年新增病毒、木馬總數的56.13%;黑客后門類占全年新增病毒、木馬總數的21.97%;而網頁腳本所占比例從去年的0.8%躍升至5.96%，成為增長速度最快的一類病毒。該中心統(tǒng)計數據還顯示，90%的病毒依附網頁感染用戶，這說明，人類在盡情享受網絡信息帶來的巨大財富和便捷的同時，也被日益嚴峻的網絡信息安全問題所困擾。

1病毒木馬數量呈幾何級數增長，互聯網進入木馬病毒經濟時代

造成病毒木馬數量呈幾何級數增長的原因，經濟利益的驅使首當其沖，木馬比病毒危害更大，因為病毒或許只是開發(fā)者為了滿足自己的某種心理，而木馬背后卻隱藏著巨大的經濟利益，木馬病毒不再安于破壞系統(tǒng)，銷毀數據，而是更加關注財產和隱私。電子商務便成為了攻擊熱點，針對網絡銀行的攻擊也更加明顯，木馬病毒緊盯在線交易環(huán)節(jié)，從虛擬價值盜竊轉向直接金融犯罪。

財富的誘惑，使得黑客襲擊不再是一種個人興趣，而是越來越多的變成一種有組織的、利益驅使的職業(yè)犯罪。其主要方式有:網上教授病毒、木馬制作技術和各種網絡攻擊技術;網上交換、販賣和出租病毒、木馬、僵尸網絡;網上定制病毒、木馬;網上盜號(游戲賬號、銀行賬號、QQ號等)、賣號;網上詐騙、敲詐;通過網絡交易平臺洗錢獲利等。攻擊者需要的技術水平逐漸降低、手段更加靈活，聯合攻擊急劇增多。木馬病毒、病毒木馬編寫者、專業(yè)盜號人員、銷售渠道、專業(yè)玩家已經形成完整的灰色產業(yè)鏈。

借助互聯網的普及，木馬病毒進入了經濟時代。艾瑞的一項調查顯示，央視“315”晚會曝光木馬通過“肉雞”盜取用戶錢財后，超過八成潛在用戶選擇推遲使用網上銀行和網上支付等相關服務。木馬產業(yè)鏈背后的巨大經濟利益，加上傳統(tǒng)殺毒軟件的不作為、銀行對安全的不重視、刑法的漏洞等都是病毒木馬日益猖獗的根源。

另一方面，病毒木馬的機械化生產加速了新變種的產生，大量出現的系統(tǒng)及第三方應用程序漏洞為病毒木馬傳播提供了更廣泛的途徑。病毒制造的模塊化、專業(yè)化，以及病毒“運營”模式的互聯網化已成為當前中國計算機病毒發(fā)展的三大顯著特征。

2由漏洞引發(fā)的網絡信息安全問題

漏洞也叫脆弱性(Vulnerability)，是計算機系統(tǒng)在硬件、軟件、協議的具體實現或系統(tǒng)安全策略設計和規(guī)劃時存在的缺陷和不足，從而使攻擊者能夠在未被合法授權的情況下，訪問系統(tǒng)資源或者破壞系統(tǒng)的完整性與穩(wěn)定性。漏洞除了系統(tǒng)(硬件、軟件)本身固有的缺陷之外，還包括用戶的不正當配置、管理、制度上的風險，或者其它非技術性因素造成的系統(tǒng)的不安全性。

2.1漏洞的特征

2.1.1漏洞的時間局限性

任何系統(tǒng)自之日起，系統(tǒng)存在的漏洞會不斷地暴露出來。雖然這些漏洞會不斷被系統(tǒng)供應商的補丁軟件所修補，或者在新版系統(tǒng)中得以糾正。但是，在糾正了舊版漏洞的同時，也會引入一些新的漏洞和錯誤。隨著時間的推移，舊的漏洞會消失，但新的漏洞也將不斷出現，所以漏洞問題也會長期存在。因此，只能針對目標系統(tǒng)的系統(tǒng)版本、其上運行的軟件版本，以及服務運行設置等實際環(huán)境，來具體談論其中可能存在的漏洞及其可行的解決辦法。

2.1.2漏洞的廣泛性

漏洞會影響到很大范圍的軟、硬件設備，包括操作系統(tǒng)本身及其支撐軟件平臺、網絡客戶和服務器軟件、網絡路由器和安全防火墻等。

2.1.3漏洞的隱蔽性

安全漏洞是在對安全協議的具體實現中發(fā)生的錯誤，是意外出現的非正常情況。在實際應用的系統(tǒng)中，都會不同程度地存在各種潛在安全性錯誤，安全漏洞問題是獨立于系統(tǒng)本身的理論安全級別而存在的。

2.1.4漏洞的被發(fā)現性

系統(tǒng)本身并不會發(fā)現漏洞，而是由用戶在實際使用、或由安全人員和黑客在研究中發(fā)現的。攻擊者往往是安全漏洞的發(fā)現者和使用者。由于攻擊的存在，才使存在漏洞的可能會被發(fā)現，從某種意義上講，是攻擊者使系統(tǒng)變得越來越安全。

2.2漏洞的生命周期

漏洞生命周期，是指漏洞從客觀存在到被發(fā)現、利用，到大規(guī)模危害和逐漸消失的周期。漏洞所造成的安全問題具備一定的時效性，每一個漏洞都存在一個和產品類似的生命周期概念。只有對漏洞生命周期進行研究并且分析出一定的規(guī)律，才能達到真正解決漏洞危害的目的。隨著系統(tǒng)漏洞、軟件漏洞、網絡漏洞發(fā)現加快，攻擊爆發(fā)時間變短，在所有新攻擊方法中，64%的攻擊針對一年之內發(fā)現的漏洞，最短的大規(guī)模攻擊距相應漏洞被公布的時間僅僅28天。

2.3漏洞的攻擊手段

黑客入侵的一般過程:首先，攻擊者隨機或者有針對性地利用掃描器去發(fā)現互聯網上那些有漏洞的機器。然后，選擇作為攻擊目標利用系統(tǒng)漏洞、各種攻擊手段發(fā)現突破口，獲取超級用戶權限、提升用戶權限。最后，放置后門程序，擦除入侵痕跡，清理日志，新建賬號，獲取或修改信息、網絡監(jiān)聽(sniffer)、攻擊其他主機或者進行其他非法活動。漏洞威脅網絡信息安全的主要方式有:

2.3.1IP欺騙技術

突破防火墻系統(tǒng)最常用的方法是IP地址欺騙，它同時也是其它一系列攻擊方法的基礎。即使主機系統(tǒng)本身沒有任何漏洞，仍然可以使用這種手段來達到攻擊的目的，這種欺騙純屬技術性的，一般都是利用TCP/IP協議本身存在的一些缺陷。攻擊者利用偽造的IP發(fā)送地址產生虛假的數據分組，喬裝成來自內部站點的分組過濾器，系統(tǒng)發(fā)現發(fā)送的地址在其定義的范圍之內，就將該分組按內部通信對待并讓其通過，這種類型的攻擊是比較危險的。

2.3.2拒絕服務攻擊(DDoS)

當黑客占領了一臺控制機，除了留后門擦除入侵痕跡基本工作之外，他會把DDoS攻擊用的程序下載，然后操作控制機占領更多的攻擊機器。開始發(fā)動攻擊時，黑客先登錄到做為控制臺的傀儡機，向所有的攻擊機發(fā)出命令。這時候攻擊機中的DDoS攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發(fā)送大量的數據包，導致受害主機死機或是無法響應正常的請求。有經驗的攻擊者還會在攻擊的同時用各種工具來監(jiān)視攻擊的效果，隨時進行調整。由于黑客不直接控制攻擊傀儡機，這就導致了DDoS攻擊往往難以追查。

2.3.3利用緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊是互聯網上最普通，也是危害最大的一種網絡攻擊手段。緩沖區(qū)溢出攻擊是一種利用目標程序的漏洞，通過往目標程序的緩沖區(qū)寫入超過其長度的內容，造成緩沖區(qū)的溢出，破壞程序的堆棧，使程序轉而執(zhí)行指定代碼，從而獲取權限或進行攻擊。

2.3.4特洛伊木馬

木馬實質上只是一個網絡客戶/服務程序，是一種基于遠程控制的黑客工具，不需要服務端用戶的允許就能獲得系統(tǒng)的使用權。木馬程序體積比較小，執(zhí)行時不會占用太多的資源，很難停止它的運行，并且不會在系統(tǒng)中顯示出來，而且在每次系統(tǒng)的啟動中都能自動運行。木馬程序一次執(zhí)行后會自動更換文件名、自動復制到其他的文件夾中，實現服務端用戶無法顯示執(zhí)行的動作，讓人難以察覺，一旦被木馬控制，你的電腦將毫無秘密可言。

2.3.5數據庫系統(tǒng)的攻擊

通過非授權訪問數據庫信息、惡意破壞、修改數據庫、攻擊其它通過網絡訪問數據庫的用戶、對數據庫不正確的訪問導致數據庫數據錯誤等方式對數據庫進行攻擊。主要手法有:口令漏洞攻擊、SQL Server擴展存儲過程攻擊、SQL注入(SQL Injection)、竊取備份等。

2.3.6網頁掛馬

通過獲取系統(tǒng)權限、利用應用系統(tǒng)漏洞，對腳本程序發(fā)帖和提交信息的過濾不嚴格，從而可以將一些HTML或者腳本代碼段作為文本提交，但是卻能被作為腳本解析或者通過ARP欺騙，不改動任何目標主機的頁面或者是配置，在網絡傳輸的過程中直接插入掛馬的語句，利用被黑網站的流量將自己的網頁木馬進行傳播，以達到無人察覺的目的。常見方式有:框架掛馬、js文件掛馬、js變形加密、body掛馬、css掛馬、隱蔽掛馬、Java掛馬、圖片偽裝、偽裝調用、高級欺騙等。

2.3.7無線網絡、移動手機成為新的安全重災區(qū)

在無線網絡中被傳輸的信息沒有加密或者加密很弱，很容易被竊取、修改和插入，存在較嚴重的安全漏洞。隨著3G時代的到來，智能手機和移動互聯網越來越為普及，一部強大的智能手機的功能，并不遜于一部小型電腦。隨著手機的處理能力日益強大，互聯網連接帶寬越來越高，手機病毒開始泛濫，病毒所帶來的危害也會越來越大。手機病毒利用普通短信、彩信、上網瀏覽、下載軟件與鈴聲等方式傳播，還將攻擊范圍擴大到移動網關、WAP服務器或其它的網絡設備。

2.3.8內部網絡并不代表安全

隨著經濟的快速發(fā)展和企業(yè)對網絡應用依賴程度的逐步提升，內部網絡已經成為企業(yè)改善經營和管理的重要技術支撐。企業(yè)內部網絡系統(tǒng)與外界的聯系越來越緊密，而且數據的價值也越來越高，內部網絡不安全已經成為影響企業(yè)進一步發(fā)展的重要威脅。常見的安全威脅有:內外勾結。內部人員向外泄露重要機密信息，外部人員攻擊系統(tǒng)監(jiān)聽、篡改信息，內部人員越權訪問資源，內部人員誤操作或者惡意破壞系統(tǒng)等。

有關部門的調查數據顯示，2004-2006年，內部攻擊的比例在8%左右，2007年這個比例是5%，而到了2008年已經上升到23%。企業(yè)內部網絡安全問題十分突出，存在較為嚴重的隱患，成為制約企業(yè)網發(fā)展與應用的重要因素。

3可信計算概述

在IT產業(yè)迅速發(fā)展、互聯網廣泛應用和滲透的今天，各種各樣的威脅模式也不斷涌現。信息領域犯罪的隱蔽性、跨域性、快速變化性和爆發(fā)性給信息安全帶來了嚴峻的挑戰(zhàn)。面對信息化領域中計算核心的脆弱性，如體系結構的不健全、行為可信度差、認證力度弱等，信息安全的防護正在由邊界防控向源頭與信任鏈的防控轉移，這正是可信計算出臺的背景。

可信計算(Trusted Computing，TC)是指在PC硬件平臺引入安全芯片架構，通過其提供的安全特性來提高終端系統(tǒng)的安全性，從而在根本上實現了對各種不安全因素的主動防御。簡單地說，可信計算的核心就是建立一種信任機制，用戶信任計算機，計算機信任用戶，用戶在操作計算機時需要證明自己的身份，計算機在為用戶服務時也要驗證用戶的身份。這樣的一種理念來自于我們所處的社會。我們的社會之所以能夠正常運行，就得益于人與人之間的信任機制，如:商人與合作伙伴之間的信任;學生與教師之間的信任;夫妻之間的信任等等。只有人與人之間建立了信任關系，社會才能和諧地正常運轉?？尚庞嬎愠浞治樟诉@種理念，并將其運用到計算機世界當中。

由于信息安全風險評估不足，導致安全事件不斷發(fā)生。因此，現在的大部分信息安全產品以及采取的安全措施都不是從根本上解決問題，都是在修補漏洞，效果可想而知?？尚庞嬎銊t是從本源上解決信息安全問題，就是要發(fā)放“通行證”。并且，“通行證”可以從技術上保證不會被復制，可以隨時驗證真實性?？尚庞嬎阋虼顺蔀樾畔踩闹饕l(fā)展趨勢之一，也是IT產業(yè)發(fā)展的主要方向。

3.1可信平臺模塊

把可信作為一種期望，在這種期望下設備按照特定的目的以特定的方式運轉。并以平臺形式制訂出了一系列完整的規(guī)范，包括個人電腦、服務器、移動電話、通信網絡、軟件等等。這些規(guī)范所定義的可信平臺模塊(Trusted Platform Module，TPM)通常以硬件的形式被嵌入到各種計算終端，在整個計算設施中建立起一個驗證體系，通過確保每個終端的安全性，提升整個計算體系的安全性。從廣義的角度上，可信計算平臺為網絡用戶提供了一個更為寬廣的安全環(huán)境，它從安全體系的角度來描述安全問題，確保用戶的安全執(zhí)行環(huán)境，突破被動防御漏洞打補丁方式?？尚牌脚_模塊實現目的包括兩個層面的內容:一方面，保護指定的數據存儲區(qū)，防止敵手實施特定類型的物理訪問。另一方面，賦予所有在計算平臺上執(zhí)行的代碼，

以證明它在一個未被篡改環(huán)境中運行的能力。

3.2可信計算的關鍵技術

與社會關系所不同的是，建立信任的具體途徑，社會之中的信任是通過親情、友情、愛情等紐帶建立起來的，但是在計算機世界里，一切信息都以比特串的形式存在，建立可信計算信任機制，就必須使用以密碼技術為核心的關鍵技術。可信計算包括以下5個關鍵技術概念:

3.2.1Endorsement key 簽注密鑰

簽注密鑰是一個2048位的RSA公共和私有密鑰對，它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里，而公共密鑰用來認證及加密發(fā)送到該芯片的敏感數據。

3.2.2Secure input and output 安全輸入輸出

安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑。當前，電腦系統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數據。例如鍵盤監(jiān)聽和截屏。

3.2.3Memory curtaining 儲存器屏蔽

儲存器屏蔽拓展了一般的儲存保護技術，提供了完全獨立的儲存區(qū)域。例如，包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權限，所以入侵者即便控制了操作系統(tǒng)信息也是安全的。

3.2.4Sealed storage 密封儲存

密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息。意味著該數據只能在相同的軟硬件組合環(huán)境下讀取。例如，某個用戶在他們的電腦上保存一首歌曲，而他們的電腦沒有播放這首歌的許可證，他們就不能播放這首歌。

3.2.5Remote attestation 遠程認證

遠程認證準許用戶電腦上的改變被授權方感知。例如，軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術保護措施。它通過讓硬件生成當前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權方來顯示該軟件公司的軟件尚未擾。

3.3可信計算的應用現狀

在國際上，可信計算架構技術發(fā)展很快，一些國家(如美國、日本等)在政府采購中強制性規(guī)定要采購可信計算機。中國的可信計算還屬于起步階段，但正在向更高水平發(fā)展。據了解，現在市場上已經銷售了數十萬帶有可信計算芯片的電腦，這些電腦已經廣泛應用于包括政府、金融、公共事業(yè)、教育、郵電、制造，以及廣大中、小企業(yè)在內的各行各業(yè)中。而且，不少政府部門已經認可產品，并將帶有可信計算芯片的產品采購寫入標書。但是，無論是國內還是國外，可信技術從應用角度講都還僅僅處于起步階段?？尚庞嬎氵€停留在終端(客戶端)領域，還要進一步向服務器端(兩端要互相認證)，中間件、數據庫，網絡等領域發(fā)展，建立可信計算平臺和信任鏈。當前，可信計算的應用領域主要有:數字版權管理、身份盜用保護、防止在線游戲防作弊、保護系統(tǒng)不受病毒和間諜軟件危害、保護生物識別身份驗證數據、核查遠程網格計算的計算結果等。應用環(huán)境的局限性也是可信計算產業(yè)發(fā)展的一大障礙，目前的應用還處于很有限的環(huán)境中，應用的廣泛性還得依靠人們對于可信計算、網絡信息安全在認識和意識上的提高。

參考文獻

1 劉曉輝主編.網絡安全管理實踐(網管天下)[M].北京:電子工業(yè)出版社，2007.3

2 [美]DavidChallener、RyanCatherman等.可信計算(Apractical

GuidetoTrustedComputing)[M].北京:機械工業(yè)出版社，2009

3 李毅超、蔡洪斌、譚浩等譯.信息安全原理與應用(第四版)[M].北京:電子工業(yè)出版社，2007.11